Бразилия сталкивается с ростом атак червей WhatsApp, нацеленных на Крипто и банковские приложения

Недавно выявленная кампания червя и трояна на базе WhatsApp в Бразилии компрометирует крипто-кошельки и банковские счета через быстро распространяющийся кластер вредоносных программ, названный Eternidade.

Исследователи выявили новую многоступенчатую угрозу

Бразильским крипто-пользователям поступило предупреждение о новой вредоносной операции, использующей захват WhatsApp для распространения банковского трояна, предназначенного для сбора финансовых учетных данных. Исследователи Trustwave SpiderLabs сообщили, что кампания сосредоточена вокруг недавно идентифицированного кражи, известного как Eternidade, вредоносного ПО на базе Delphi, способного динамически обновлять свою инфраструктуру управления и контроля и скрытно собирать данные у жертв.

Исследователи Натанель Моралес, Джон Басмайор и Никита Казимирский отметили, что WhatsApp остается центральным элементом киберпреступной экосистемы Бразилии, заявив,

«WhatsApp продолжает оставаться одним из самых эксплуатируемых коммуникационных каналов в экосистеме киберпреступности Бразилии. За последние два года злоумышленники усовершенствовали свои тактики, используя огромную популярность платформы для распространения банковских троянов и вредоносных программ, stealing information.»

Как работает цепочка инфекции

Согласно исследовательской группе, продолжающаяся операция начинается с сообщений социального инженерства, отправляемых через WhatsApp. Эти приманки имитируют знакомые форматы, такие как уведомления о доставке, мошеннические инвестиционные группы и «поддельные государственные программы», чтобы обмануть получателей и заставить их нажать на вредоносные ссылки.

После нажатия на ссылку запускается развертывание как червя-вредителя, так и банковского трояна Eternidade. Червь немедленно берет под контроль счет жертвы в WhatsApp, извлекает список контактов и выборочно нацеливается на отдельных контактов, используя “умную фильтрацию”, обходя бизнес-группы, чтобы максимизировать вероятность личного взаимодействия.

Одновременно на устройство бесшумно загружается троянский файл. Этот компонент устанавливает Eternidade Stealer в фоновом режиме, позволяя злоумышленникам сканировать учетные данные, связанные с крупнейшими бразильскими банками, финтех-платформами и криптовалютными биржами и кошельками.

Адаптивное управление и контроль через Gmail

Одной из самых важных характеристик кампании является ее нестандартный метод получения обновленных команд. Вместо того чтобы полагаться на статические адреса серверов, Eternidade использует жестко закодированные учетные данные для входа в Gmail-счет через IMAP. Это позволяет злоумышленникам отправлять обновленные инструкции просто, отправляя электронное письмо на контролируемый счет.

Исследователи подчеркнули эту технику в своем отчете:

“Одной из примечательных особенностей этого вредоносного программного обеспечения является то, что оно использует жестко закодированные учетные данные для входа в свой email счет, из которого оно получает свой C2 сервер. Это очень хитрый способ обновить свой C2, поддерживать постоянство и избегать обнаружения или устранения на уровне сети. Если вредоносное ПО не может подключиться к email счету, оно использует жестко закодированный резервный C2 адрес.”

Связанная вредоносная активность

Операция Eternidade closely следует за другой волной вредоносных программ, сосредоточенной на Бразилии, известной как Water Saci, которая использовала червя WhatsApp Web под названием SORVEPOTEL для распространения Maverick, банковского трояна на базе .NET, связанного с более ранними вариантами вредоносных программ Coyote. Эти инциденты подчеркивают постоянную тенденцию в регионе: использование WhatsApp в качестве основного вектора и стойкая зависимость от инструментов на базе Delphi для разработки вредоносных программ.

Рекомендации по безопасности

Эксперты по безопасности советуют пользователям WhatsApp избегать нажатия на незнакомые ссылки, даже если они отправлены доверенными контактами. Рекомендуется подтверждать подозрительные сообщения через альтернативные каналы связи, особенно когда ссылка сопровождается недостаточным контекстом.

Отказ от ответственности: Эта статья предоставлена только для информационных целей. Она не предлагается и не предназначена для использования в качестве юридической, налоговой, инвестиционной, финансовой или иной консультации.